Globální kolaps internetu kvůli Anonymous? Nejspíše ne

SecurityWorld | 20.02.12

Nově oznámené aktivity skupiny Anonymous směrují na tzv. root DNS servery. Mají šanci, aby byl vyřazen z provozu celý internet?


Sdílet Sdílet

Tvrdí to server Pastebin, podle kterého je zásadní akce připravena na poslední den letošního března. Jde o tzv. "Operation Global Blackout".

DNS servery překládají jména webů, jako třeba www.securityworld.cz, do číselné IP adresy, jež příslušné systémy používají. Bez nich by celý internet zkolaboval. Existuje celekm 13 autoritativních root serverů obsahujících tzv. master list a u kterých se jiné DNS servery mohou ptát na konkrétní IP adresu pro konkrétné doménové jméno spadající pod určité TLD (top-level domain), jako je třeba .cz.
Skupina hackerů podle Pastebin.com tvrdí, že vytvořila nástroj Reflective DNS Amplification DDoS (distributed denial-of-service), který způsobí, že ostatní DNS servery přehltí zmíněné jádrové DNS spoustou dotazů.

Principem tohoto útoku je podle Ondřeje Filipa ze společnosti CZ.NIC to, že útočník posílá podvržené dotazy na DNS resolvery. Jako zdrojovou adresu dotazu podvrhne IP adresu cíle, na který chce útočit. Díky jednoduché vlastnosti DNS, že odpověď je vždy větší než dotaz, dosáhne zesílení svého útoku.

Vhodně zvolenými typy dotazu lze i z domácího připojení vygenerovat poměrně slušný tok dat. Takto vygenerovaný datový tok od více útočníků, pak může zahltit DNS server(y) či přístupové linky k nim. Z principu útoku je zřejmé, že útočník potřebuje ke své činnosti otevřené DNS resolvery, ale je bohužel smutnou skutečností, že těch je v současném Internetu více než dost.

Podle Roberta Grahama, CEO firmy Errata Security, však takový úkol může být dost obtížný. Hackeři prý mohou ovlivnit jen pár root serverů, ale je téměř nemožné, aby všechny. 31. Prosince tak uživatelé podle něj vlastně nic nezaregistrují. Navíc servery data replikují i na jiné, takže pokud bude přetížen jeden, budou se tazatelé schopni připojit k jinému.

Metod, jak útoku čelit, je podle Ondřeje Filipa celá řada. Především by velice pomohlo, kdyby koncoví ISP filtrovali odchozí packety, které nemají ve zdrojové adrese IP z jejich rozsahu. Tím by zabránili svým uživatelům podvrhovat IP adresy.

Druhou, mnohem problematičtější možností, je podle Filipa filtrovat všechny DNS dotazy z root serverů. Tyto servery nemají důvod se nijak ptát. Problémem tohoto řešení je, že je šité na míru pouze tomuto jednotlivému útoku a změna cíle útoku by znamenala další konfigurace. Navíc i IP adresy root serverů se čas od času změní a je šance, že aplikace této obrany napáchá více škody než užitku.

No a samozřejmě nejpřirozenější je neinstalovat zbytečně otevřené DNS resolvery. Většina existuje bohužel jen jaksi „omylem“, někteří správci bohužel nejsou příliš pečliví a s konfigurací DNS resolverů si tolik hlavu nelámou.



autor Pavel Louda


Další články z rubriky

Související články

Tagy

Anonymous · Pastebin · DDOS · DNS · root · blackout · Operation Global Blackout · Reflective DNS Amplification · Errata · CZ.NIC

pridatLinkuj | Jagg | Delicious | Facebook | vybrali.sme.sk



Komentáře